Фаззинг давно стал стандартным инструментом для поиска уязвимостей, но чаще всего — в контексте бинарных целей: взял AFL, выдал ему ресурсов и ждешь. В мире сетевых протоколов так не сработает, поэтому исследователи часто игнорируют его в этом контексте. Сегодня мы в руках с фаззером Boofuzz попробуем обойти все преграды.

Иногда, чтобы защититься от сетевых атак, достаточно сделать жизнь атакующего до невозможного неудобной. Сегодня превратим собственную инфраструктуру в лабиринт ловушек и ложных следов, где каждый шаг нарушителя приводит к неразберихе, задержкам или сбоям в работе его же инструментов. Даже простое сканирование мы превратим в мучительный квест!

Небольшая форма восстановления пароля может стать большой головной болью. На каждом шаге разработчики допускают ошибки. В этой статье я покажу актуальные методы атаки на формы сброса пароля и дам рекомендации, которые будут полезны пентестерам и разработчикам.

В этой статье мы пройдем машину Sink с площадки HackTheBox. Для этого нам понадобится проэксплуатировать уязвимость HTTP Request Smuggling, а получив точку опоры, будем разбираться с технологией AWS Secrets Manager. Скучать точно не придется!

Многие исторические протоколы живут в программном обеспечении еще долго после своего пика популярности и остаются доступными, если вдруг нужны. В то же время активно развивающиеся протоколы могут утрачивать совместимость. Давай рассмотрим несколько примеров того, как связать старые системы с новыми сетями.

Сегодня мы с тобой разберем уязвимости в приложениях на Java известных производителей. Одна из софтин помогает защищать свои системы от атак, но при этом сама стала местом для проникновения в сеть компании. И конечно, мы не могли обойти стороной уязвимость в HTTP.sys.